Újabb részleteket közölt a LastPass a múlt évi súlyos incidenséről. Egy vezető DevOps mérnök gépén keresztül jutottak be a hekkerek.

Tavaly a Bitport is foglalkozott vele, hogy súlyos támadás érte a LastPass rendszerét. A hekkerek két hullámban jutottak házon belülre. A vállalat most újabb részleteket közölt az incidensről.

Mint a DevClass írja, egy vezető DevOps mérnöktől lopták azokat az érvényes hitelesítő adatokat, melyekkel hozzáfértek egy megosztott felhős környezethez.

Alkalmazásszinten keveredett magánélet és munka

A támadók a mérnök otthoni számítógépét vették célba, amelybe egy harmadik féltől származó médiaszoftver távoli kódfuttatást lehetővé tevő sérülékenységét kihasználva jutottak be. A gépre keyloggert (billentyűlenyomásokat rögzítő program) telepítettek, amivel megszerezték a mérnök mesterjelszavát – annak birtokában pedig simán hozzáfértek LastPass-os vállalati trezorjához.

Tudták, kit kell támadni: a célszemély egyike volt annak a négy DevOps mérnöknek, akik hozzáfértek azokhoz a dekódoló kulcsokhoz, amelyekkel be lehetett lépni egy biztonságkritikus felhőalapú tárhelyszolgáltatásba. Olyan adatok szivárogtak ki így, mint a LastPass AWS S3-on tárolt éles biztonsági mentéseinek hozzáférési és visszafejtési kulcsai.

A hekkerek először 2022 augusztus első felében (8-12. között) egy kompromittált fejlesztői fiókon keresztül hajtottak végre támadást. Az azonban csak arra szolgált, hogy egy majdani, nagyobb támadáshoz szerezzenek muníciót. Az ott szerzett adatokkal törték fel a DevOps mérnök gépét is. Érdekes egybeesés, bár szerencsétlen véletlen is lehet, hogy a mérnök gépén megtört médiaszoftver, a Plex szervereiről a második támadás indulása (augusztus 12.) után 12 nappal legalább 15 millió felhasználó adatait lopták el.

És hogy mi köze mindehhez a DevOps-nak? A hekkerek mindkét támadási körnél egy kompromittált fejlesztői fiókon keresztül jutottak be a LastPass rendszerébe. De miért történhetett meg ez? A kérdésre voltaképpen újabb kérdéssel lehet válaszolni. Miért futott távoli hozzáférést is lehetővé tevő sebezhető konzumer médiaszoftver egy olyan otthoni számítógépen, amelyet biztonságkritikus funkciókra (tudniillik több millió ügyfél hitelesítő adatainak védelme) is használtak?

Sok mindent újra kell gondolni

A távmunka népszerű, különösen a fejlesztők között. De a LastPass-incidens komoly kétségeket vet fel azzal kapcsolatban, hogy ez fenntartható-e bizonyos munkakörökben. Mert annak mindig van esélye, hogy vagy a szabályzatban, vagy annak gyakorlati alkalmazásában, esetleg mindkettőben lesznek lyukak. Daniel Cuthbert, az OWASP Application Security Verification Standard társszerzője, aki nem mellesleg a brit kormány kiberbiztonsági tanácsadó testületének tagja, a Twitteren úgy fogalmazott, hogy az eset sok kérdést vet fel az otthoni munkavégzéssel, de még a hálózattervezéssel kapcsolatban is.

Clemens Vasters, a Microsoft eseménykezelésért felelős vezető architektje, szerint az ilyen eesetek csak egyféleképpen védhetők ki: olyan automatizált menedzsment-csatornák alkalmazásával, amelyeknél a kritikus titkokat csak maga a rendszer ismeri, azokhoz ember soha, semmilyen módon nem férhet hozzá.

A DevClass felveti annak a fontosságát is, hogy a fejlesztői környezetek szigorúan szeparálni kell az éles környezettől, és a fejlesztőket kötelezni kell arra, hogy csak és kizárólag védett hálózatokon dolgozzanak.

Biztonság

Szupervékony hajlítható telefonnal jelentkezett a Huawei

A kínai gyártó az amerikai szankciók ellenére komoly fejlesztésekkel igyekszik meghatározó márka maradni a mobilos szegmensben.
 
Hirdetés

Ez gyorsan ment, az Invitech bevezeti a SOAR-t

Az Invitech biztonsági műveleti központjában olyan automatizált megoldást vezetnek be, amellyel akár egy eddig félnapos elemzőmunka is csak negyedórát vehet majd igénybe. Ez a SOAR.

A modern kihívásokkal szemben is ellenállóvá tudja tenni az IT-biztonságot az automatizáció, de nem csodaszer. Az akadályok azonban leküzdhetők, csak be kell tartani néhány egyszerű szabályt.

a melléklet támogatója az Invitech

CIO KUTATÁS

A HAZAI NAGYVÁLLALATOK FELHŐHASZNÁLATÁRÓL

Az Ön véleményére is számítunk Corvinus Egyetem Adatelemzés és Informatika Intézetével és az IPR-Insights szakértőivel közösen összeállított kutatásunkban.
Segítse munkánkat egy 10-15 perces kérdőív megválaszolásával!

LÁSSUNK NEKI!

Létezik egy ortodox irányzat, mely szerint a jelszavak legyenek minél hosszabbak és összetettebbek, valamint cseréljük azokat minél gyakrabban. Valóban ettől lesznek a rendszereink biztonságosabbak? Pfeiffer Szilárd (Balasys) írása.

Miért ne becsüljük le a kisbetűs jelszavakat? 2. rész

Miért ne becsüljük le a kisbetűs jelszavakat? 3. rész

A felmérésekből egyre inkább kiderül, hogy az alkalmazottak megtartása vagy távozása sokszor azon múlik, amit a szervezetük nem csinál, nem pedig azon, amiben egymásra licitál a többi munkáltatóval.

Ezért fontos számszerűsíteni a biztonsági kockázatokat

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2023 Bitport.hu Média Kft. Minden jog fenntartva.